Lost in the Cloud ? L’accès transfrontalier aux données par les autorités de police et de justice après le CLOUD Act et « E-Evidence »
![Image [EUCS :] des entreprises européennes s’opposent à l’exclusion du critère de souveraineté](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-europe-institutions-2-2024-885x690.jpg)
![Image [DMA :] la Commission européenne va enquêter sur Alphabet, Apple et Meta](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-europe-institutions-2024-885x690.jpg)
![Image [Atos / Eviden :] Airbus jette (à nouveau) l’éponge](https://incyber.org//wp-content/uploads/2023/09/incyber-news-cybersecurity-money-bank-885x690.jpg)
Dans une étude publiée en décembre dernier à la demande de CEIS et Microsoft nous soulignions les importantes conséquences que l’affaire dite « Microsoft Ireland Warrant Case », opposant le gouvernement américain à la société Microsoft devant la Cour Suprême des Etats-Unis, pourrait avoir pour la protection des données personnelles des Européens et la souveraineté numérique des pays. Alors que l’arrêt de la Cour Suprême était attendu en juin 2018, le Congrès américain a volé au secours du gouvernement américain en adoptant en mars 2018, par des procédures sommaires et pratiquement sans discussion, la loi dite « CLOUD Act » (‘Clarifying Lawful Overseas Use of Data Act’), qui a eu pour effet de rendre cette affaire obsolète et qui a conduit la Cour à la radier de son rôle. Pourtant, les questions juridiques soulevées par l’affaire « Microsoft Ireland » restent entières. L’adoption du « CLOUD Act » ainsi que le projet « E-Evidence » présenté par la Commission Européenne le 17 avril de cette année constituent le point de départ d’un gigantesque chantier juridique qui occupera sans doute les Etats dans les années à venir.
L’affaire Microsoft Ireland et la question cruciale de l’extra-territorialité
Le cœur de l’affaire « Microsoft Ireland» concernait le problème, pour les services de justice et de police, de l’accès aux données électroniques. Les évolutions technologiques et la « digitalisation » de la vie des personnes présentent en effet un immense défi pour les services de l’ordre et la justice qui doivent pouvoir accéder à des preuves situées sur des serveurs ou systèmes informatiques qui, souvent, se trouvent à l’étranger. Au-delà de la « cybercriminalité », ces preuves concernent tout type d’infraction qu’il s’agisse de la lutte contre le terrorisme et son financement, la fraude et les délits financiers, le blanchiment de capitaux, les meurtres, agressions et autres crimes violents, la traite d’êtres humains, le trafic de stupéfiants, la pédopornographie et d’autres formes encore d’abus contre les enfants. Tant le gouvernement américain que Microsoft s’accordaient d’ailleurs à reconnaitre qu’il fallait trouver des solutions permettant l’accès des autorités de justice aux preuves digitales. Ils divergeaient, néanmoins, sur le comment y parvenir et comment résoudre les nombreux défis juridiques relatifs à ce problème.
Un second point qui faisait l’objet d’un accord entre Microsoft et le gouvernement américain était que la loi « Stored Communications Act » (SCA) de 1986, sur la base de laquelle le mandat avait été lancé dans cette affaire, ne pouvait pas s’appliquer de façon extraterritoriale. La Cour d’appel américaine, qui avait donné raison à Microsoft, avait aussi conclu que « le Congrès n’avait pas donné aux dispositions de la loi SCA une application extraterritoriale » et les juges de la majorité avaient alors appelé le Congrès à « réviser une loi désuète » rédigée bien avant l’ère des emails et du cloud.
Pour Microsoft (et la Cour d’appel) les choses étaient donc simples : un mandat au titre de la loi SCA ne pouvait pas s’appliquer aux données stockées en Irlande dans la mesure où ce mandat ne pouvait pas avoir d’effet extraterritorial. Si le gouvernement américain souhaitait donc accéder à ces données, il devait formuler une demande auprès des autorités irlandaises dans le cadre des mécanismes existants d’entraide judiciaire. Pour le gouvernement américain, au contraire, il n’y avait, dans ce cas, « aucune application extraterritoriale de la loi » : dans la mesure où les données en question étaient accessibles depuis les Etats-Unis (même si elles étaient stockées en Irlande) il convenait alors de considérer que « tout se passait sur le sol américain » et qu’il n’y avait donc aucune « extra-territorialité ». Pour le gouvernement américain donc, le seul critère pertinent était l’endroit d’où les données étaient accessibles. Dans l’étude précitée nous avions alors souligné le caractère fallacieux de cet argument qui pourrait être utilisé par tous les gouvernements du monde avec les risques de dérives que l’on peut imaginer. Le CLOUD Act adopté en mars dernier a toutefois mis un terme à ce débat entre le gouvernement américain et Microsoft, le Congrès américain donnant clairement à cette nouvelle loi un effet extraterritorial.
CLOUD Act, vu de l’Europe
Le problème juridique est donc désormais résolu du point de vue du droit américain. Il est néanmoins loin d’être résolu du point de vue des autres pays. L’adoption du CLOUD Act n’apporte, en tant que telle, aucune solution aux nombreux problèmes que nous avions signalé dans notre étude : problème de conflits de lois ; risques d’atteinte à la souveraineté numérique d’autres pays ; et, surtout, risques de violation des droits de l’homme y compris, mais pas exclusivement, la protection de la vie privée et le Règlement général sur la protection des données (RGPD), désormais en vigueur.
Certains ont salué le fait que le CLOUD Act a introduit la possibilité pour les Fournisseurs de Services Internet et Cloud (FSIC) de saisir le Juge américain pour lui demander d’annuler ou modifier un tel mandat si ce dernier se trouve en conflit avec les lois d’un autre pays. En réalité, et au-delà du fait que ces recours sont soumis à de multiples conditions, il n’y a rien de très nouveau sous le soleil car les entreprises avaient déjà, avant le CLOUD Act, la possibilité de saisir le Juge d’une telle demande (et c’est bien d’ailleurs ce que Microsoft avait fait). Certes, le fait que le CLOUD Act « formalise » désormais cette procédure, qui était jusqu’ici complètement informelle, est positif. Néanmoins, il est regrettable que le CLOUD Act ne crée aucune obligation pour le Juge d’annuler ou de modifier un mandat si un tel conflit de lois est avéré. Le Juge américain pourrait ainsi décider que les « considérations de sécurité nationale » des Etats-Unis (de plus en plus largement interprétées par l’administration Trump comme en témoigne l’actualité) l’emportent sur les intérêts des pays tiers et leurs citoyens.
La véritable avancée du CLOUD Act est d’une autre nature, celle de donner la possibilité au gouvernement américain de conclure, avec un nombre restreint de pays, des accords bilatéraux en matière d’échange de données qui pourraient permettre d’éviter ces conflits de lois mais qui pourraient aussi, grande carotte pour les pays européens, leur permettre de demander à des FSIC certaines données stockées aux Etats-Unis, ce qui est impossible aujourd’hui sur la base de la loi SCA (les américains souhaitent accéder aux données européennes mais interdisent aux FSIC toute divulgation de données stockées aux USA…). Le CLOUD Act prévoit toute une série de conditions pour la conclusion de tels accords y compris le respect par les pays contractants des exigences du droit américain en matière de droits de l’homme. Chose intéressante, de tels accords entreraient en vigueur par la simple signature de l’exécutif américain, sans être soumis à le périlleuse procédure de ratification par le Congrès, même si ce dernier conserve un droit de veto pendant 180 jours.
Un Accord entre les Etats-Unis et l’Union Européenne ?
Idéalement donc, les choses seraient simples : les Etats-Unis concluraient avec l’Union Européenne un accord bilatéral permettant de prévenir tout conflit de lois et permettant aussi de mettre en place, sur un pied d’égalité et de réciprocité, une coopération fructueuse et respectueuse des droits de l’homme. « Simples » ? Pas vraiment.
Le problème majeur vient du fait que les Etats-Unis ne semblent pas très favorables à l’idée de conclure un accord avec l’Union Européenne elle-même. Les Etats-Unis semblent considérer que certains des 28 Etats membres de l’Union n’offrent pas un niveau de protection équivalente en matière des droits de l’homme à celui des Etats-Unis. Les Etats-Unis ne verraient sans doute pas de difficulté à conclure un accord avec la France, l’Allemagne ou d’autres pays, comme le Royaume-Uni avec lequel d’ailleurs la négociation d’un tel accord bilatéral se trouve déjà à un stade avancé. Mais il en va autrement avec d’autres pays comme la Pologne ou la Hongrie qui semblent cristalliser les crispations américaines. Les Etats-Unis préfèreraient donc conclure des accords avec certains Etats membres de l’Union Européenne – plutôt qu’avec l’Union elle-même. La preuve ? Le CLOUD Act ne prévoit la possibilité de conclure des accords qu’avec des « gouvernements », pas avec des organisations internationales telles que l’Union Européenne.
E-Evidence entre en scène
L’Union Européenne ne semble toutefois pas voir les choses ainsi. La Commission a en effet présenté, le 17 avril 2018, un important paquet législatif intitulé « E-Evidence » qui est une sorte de « CLOUD Act » européen dont l’objectif est de faciliter l’accès aux preuves électroniques pour les autorités européennes de police et de justice. Contrairement au CLOUD Act, adopté en discrétion grâce à un cavalier législatif, le projet E-Evidence est le fruit d’un gros travail qui a duré des années. Il est constitué d’un projet de Règlement, qui fait 68 pages (et oui, c’est long comme d’habitude, mais, au moins, c’est 20 pages plus court que le RGPD…), d’un projet de directive (de 22 pages) et d’une étude d’impact de 283 pages. Nous ne sommes encore qu’au début du processus législatif au sein de l’Union (le projet devant maintenant être examiné par le Conseil et le Parlement) mais il convient d’ores et déjà d’en souligner au moins deux aspects.
Premièrement, le projet E-Evidence, même s’il peut sans doute être encore amélioré, accorde déjà une place importante à la protection des droits de l’homme et de l’acquis européen dans ce domaine tout en tenant compte des privilèges et immunités et des intérêts fondamentaux des pays tiers concernés.
Un deuxième aspect qu’il convient de souligner est que le projet E-Evidence affirme, tout aussi clairement que le CLOUD Act, son effet extra-territorial… de quoi, sans doute, placer sur un pied d’égalité l’Europe et les Etats-Unis à propos de la négociation d’accords bilatéraux.
Conclusion : défis pour l’avenir
Ceci nous ramène donc à la question de la conclusion d’accords bilatéraux. Maintenant que l’Union Européenne a clairement affirmé sa compétence dans ce domaine par la présentation du paquet E-Evidence, il devient délicat, juridiquement et politiquement, pour les pays membres de l’Union Européenne d’entamer ou de continuer des négociations bilatérales avec les Etats-Unis pour conclure les accords prévus par le CLOUD Act. De fait, l’Union Européenne semble vouloir mener cette négociation avec les Etats-Unis. Or, comment résoudre cette équation hautement compliquée alors que les Etats-Unis semblent préférer négocier avec les Etats membres ? Une solution pourrait être la conclusion d’un accord-cadre entre les Etats-Unis et l’Union Européenne, accompagné de la conclusion d’accords bilatéraux avec les Etats membres. Quelle que soit la forme de ces accords, trois choses semblent importantes :
1) Il faut faire vite. En l’état actuel des choses le CLOUD Act a donné clairement à la loi américaine un effet extraterritorial. Ceci pourrait créer de nombreux conflits de lois pour les FSIC si on considère que les articles 48 et 49 du RGPD et d’autres règles européennes ne permettent pas en principe, et sauf dérogations exceptionnelles, aux FSIC de livrer aux autorités américaines des données européennes stockées en Europe (voir notre étude précitée). A cet égard, il serait sans doute souhaitable que le Contrôleur Européen de la Protection des Données (CEPD), organe qui regroupe les CNIL européennes, lève toute ambiguïté sur ce point. Une position claire du CEPD pourrait d’ailleurs presser les Etats-Unis à négocier. Autrement, les Etats-Unis pourraient penser qu’il n’y a aucune raison de se précipiter pour conclure des accords internationaux alors qu’ils ont toutes les cartes en main.
2) Il serait souhaitable qu’E-Evidence soit rapidement adopté, avant la fin de la mandature actuelle du Parlement européen. Ceci suppose un travail minutieux d’amélioration d’un projet législatif par ailleurs bien pensé et préparé.
3) Enfin, il faut faire en sorte que les accords bilatéraux qui pourraient être conclus avec les Etats-Unis répondent aux exigences de la Charte des droits fondamentaux de l’Union Européenne et de la Convention européenne des droits de l’homme ainsi qu’à celles de la jurisprudence de la Cour de justice de l’Union européenne et de la Cour européenne des droits de l’homme. Un accord entre les Etats-Unis et l’Union Européen pourrait en effet être soumis (très probablement par le Parlement européen lui-même) au contrôle de la Cour de justice de l’Union. Or, nous savons ce qui s’est passé ces dernières années avec d’autres accords transatlantiques en matière de données soumis au contrôle de la Cour, tels que l’accord Safe Harbor avec les Etats-Unis ou l’accord PNR avec le Canada… Autant bien préparer ces nouveaux accords, pour éviter de nouvelles déceptions…
Par Théodore CHRISTAKIS Professeur de droit international, Université Grenoble Alpes, Directeur Adjoint, Grenoble Alpes Data Institute, Membre Senior de l’Institut Universitaire de France, Membre du Conseil National du Numérique[1]
[1] L’auteur s’exprime ici à titre strictement personnel.